Copyright © Dia Oficial 2026 | contato@diaoficial.com

DOU 04/09/2024 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152024090400104
104
Nº 171, quarta-feira, 4 de setembro de 2024
ISSN 1677-7042
Seção 1
. .XIV
.Produtos facultativos ofertados por meio de
serviço de iniciação de transação de pagamento
por participantes do Open Finance4
( )
( )
( )
( )
( )
.Iniciação de Pix - Inserção manual de dados da conta transacional do usuário recebedor
Iniciação de Pix - Chave Pix
Iniciação de Pix - INIC5
Iniciação de Pix - leitura de QR Code
Pix Agendado
1 A geração de qualquer tipo de QR Code dinâmico, quando ofertada a usuários pessoas jurídicas de forma automatizada, apenas deve ser realizada por meio da API Pix.
2 A instituição que disponibilize contas transacionais a usuários pessoas jurídicas deverá disponibilizar, no mínimo, uma das três modalidades para a realização de um Pix (Chave Pix, Leitura
de QR Code estático, Leitura de QR Code dinâmico).
3 Caso opte por ofertar a geração de QR Code estático a pessoas jurídicas, fica o participante obrigado a ofertar, por meio dessa forma de iniciação, tanto as funcionalidades relativas aos
produtos Pix Cobrança para pagamentos imediatos, quanto as funcionalidades relativas ao Pix Saque.
4 A prestação de serviço de iniciação de transação de pagamento é facultativa aos participantes provedores de conta transacional e disponível apenas mediante prévia autorização para
exercício da atividade, concedida pelo Banco Central do Brasil, ressalvados os casos de dispensa previstos em regulamentação específica. Caso optante pela oferta desse serviço, deverá
indicar, ao menos, uma das modalidades de iniciação de um Pix.
5 Corresponde aos casos em que o provedor de conta transacional prestador do serviço de iniciação detém as informações do usuário recebedor.
Declaramos ciência de que:
(i) o Banco Central do Brasil se reserva o direito de exigir informações e documentos complementares a qualquer tempo; e
(ii) a adesão e a posterior participação no Pix implica no aceite às regras, às condições e aos procedimentos estabelecidos no Regulamento do Pix.
______________________________________________________
Nome e Cargo
Anexo I-C
Questionário de autoavaliação em segurança - Instituições autorizadas a funcionar pelo Banco Central do Brasil que pretendam participar do Pix na modalidade provedor de conta
transacional, acessar de forma direta o DICT e ser participante direto do SPI; e
Questionário de autoavaliação em segurança - Instituições autorizadas a funcionar pelo Banco Central do Brasil que pretendam participar do Pix na modalidade provedor de conta
transacional, acessar de forma direta o DICT e ser participante indireto do SPI.
O questionário aborda aspectos de segurança relacionados ao Pix.
A observância desses aspectos é obrigatória a todos os participantes. Dessa forma, o não atendimento à totalidade desses aspectos, bem como a não implementação efetiva dos
mecanismos de segurança previstos, desde o início da etapa de operação restrita, sujeita o pleiteante ao indeferimento do pedido de adesão.
O participante deverá armazenar evidências que suportem a sua aderência aos aspectos elencados neste questionário por ocasião do envio ao Banco Central do Brasil. Essas
evidências poderão ser requisitadas pelo Banco Central do Brasil e podem incluir, a critério do participante, diagramas, topologias, fluxogramas, capturas de tela, consultas com respectivos
retornos ou outros documentos que julgue pertinentes.
Importa ressaltar que o eventual fornecimento, ao Banco Central do Brasil, de documentos, dados ou informações incorretos ou em desacordo com os prazos e condições
estabelecidas em normas legais ou regulamentares constitui infração punível nos termos da legislação vigente.
. .Inscrição no CNPJ
.
. .Razão social
.
. .I
.Comunicação segura
. .
.A seção 2 do Manual de Segurança do Pix dispõe sobre regras para fins de comunicação segura
. .I (a)
.A solução prevista considera a observação, desde o primeiro momento da instituição na fase de operação restrita, dos requisitos dispostos na seção 2 do Manual de Segurança
do Pix? (Sim/Não)
. .II
.Assinatura Digital
. .
.A seção 3 do Manual de Segurança do Pix dispõe sobre a assinatura digital das mensagens trafegadas no SPI e no DICT.
. .II (a)
.A solução prevista considera a observação, desde o primeiro momento de operação da instituição na fase de operação restrita, dos requisitos dispostos na seção 3 do Manual
de Segurança do Pix?
(Sim/Não)
. .III
.Segurança de QR Codes dinâmicos
. .
.A seção 4 do Manual de Segurança do Pix dispõe sobre as especificações de segurança de QR Codes dinâmicos gerados pelo recebedor.
. .III (a)
.A solução prevista considera a observação, desde o primeiro momento de operação da instituição na fase de operação restrita, dos requisitos dispostos nos itens 4.1 e 4.2 do
Manual de Segurança do Pix?
(Sim/Não/Não será ofertada a geração de QR Codes dinâmicos)
. .III (b)
.A solução prevista considera a observação, desde o primeiro momento de operação da instituição na fase de operação restrita, dos requisitos dispostos no item 4.3 do Manual
de Segurança do Pix?
(Sim/Não/Não será ofertada a geração e nem a leitura de QR Codes dinâmicos)
. .IV
.Certificados digitais
. .
.A seção 5 do Manual de Segurança do Pix dispõe sobre os tipos de certificado a serem utilizados no âmbito do Pix, bem como dos processos de ativação, de desativação e
de verificação de revogação desses certificados.
. .IV (a)
.A solução prevista considera a observação, desde o primeiro momento de operação da instituição na fase de operação restrita, dos requisitos dispostos na seção 5 do Manual
de Segurança do Pix?
(Sim/Não)
. .V
.Implementação segura de aplicativos, APIs e outros sistemas
. .
.A seção 6 do Manual de Segurança do Pix dispõe sobre aspectos de segurança obrigatórios na implementação de sistemas afetos ao Pix.
. .V (a)
.A solução prevista contempla a utilização, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de criptografia na comunicação
entre os sistemas e APIs relacionados ao Pix e seus respectivos aplicativos ou softwares clientes?
(Sim/Não)
. .V (b)
.A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de autenticação forte do
software cliente nas APIs e sistemas relacionados ao Pix?
(Sim/Não)
. .V (c)
.A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de segurança capazes de
garantir que as APIs e outros sistemas utilizados sejam acessados apenas pelos softwares clientes legítimos do participante, de forma a impedir ataques man-in-the-middle?
(Sim/Não)
. .V (d)
.A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de segurança capazes de
garantir que o software cliente se comunique apenas com APIs e sistemas desejados, de forma a impedir ataques man-in-the-middle e manipulação de sua comunicação?
(Sim/Não)
. .V (e)
.A solução prevista contempla a implementação, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos de segurança que impeçam
engenharia reversa, descompilação, manipulação de código, modificação de credenciais ou de parâmetros de segurança, dentre outras técnicas que resultem na adulteração dos
aplicativos ou softwares clientes?
(Sim/Não)
. .V (f)
.A solução prevista contempla a implementação da segurança das APIs e outros sistemas relacionados ao Pix majoritariamente na parte servidora, desde o primeiro momento
de operação da instituição na fase de operação restrita, de forma a evitar que a segurança se restrinja somente ao software cliente ou aplicativo?
(Sim/Não)
. .V (g)
.A solução prevista contempla o fornecimento, desde o primeiro momento de operação da instituição na fase de operação restrita, apenas das informações estritamente
necessárias para o correto funcionamento dos aplicativos?
(Sim/Não)
. .V (h)
.A solução prevista contempla a implementação de controles, desde o primeiro momento de operação da instituição na fase de operação restrita, para garantir que informações
como CPF completo (sem máscara), dados de agência e conta de destinatários de pagamentos via Pix, bem como informações para fins de segurança vinculadas às chaves Pix,
sejam de uso exclusivo dos sistemas internos do participante e não sejam expostas aos seus aplicativos e softwares clientes?
(Sim/Não)
. .V (i)
.A solução prevista contempla o tratamento e o mascaramento de dados obtidos na consulta de chaves Pix e transações utilizando QR Code diretamente no sistema ou API,
ao invés da utilização de filtros no software cliente, desde o primeiro momento de operação da instituição na fase de operação restrita?
(Sim/Não)
. .V (j)
.A solução prevista contempla a implementação em seu sítio web, desde o primeiro momento de operação da instituição na fase de operação restrita, de mecanismos para
prevenção ao uso de robôs e automatização de consultas de chaves e transações Pix?
(Sim/Não/Não haverá utilização do sítio para iniciação de um Pix)
. .VI
.Logs de Auditoria
. .
.A seção 7 do Manual de Segurança do Pix dispõe sobre os logs de auditoria que devem ser mantidos por todos os participantes do Pix.
. .VI (a)
.A solução prevista considera a observação, desde o primeiro momento de operação da instituição na fase de operação restrita, dos requisitos dispostos na seção 7 do Manual
de Segurança do Pix?
(Sim/Não)
. .VII
.Mecanismos de prevenção a ataques de leitura
. .
.A seção V do capítulo XIII do Regulamento Anexo à Resolução BCB nº 1 (Regulamento do Pix), de 12 de agosto de 2020, e a seção 13 do Manual Operacional do DICT dispõem
sobre mecanismos de prevenção a ataques de leitura.
. .VII (a)
.A solução prevista contempla a implementação de mecanismos de prevenção a ataques de leitura à base interna de chaves Pix da instituição desde o primeiro momento de
operação da instituição na fase de operação restrita?
(Sim/Não)
. .VII (b)
.Os mecanismos planejados de prevenção a ataques de leitura à base interna de chaves Pix da instituição são, no mínimo, iguais aos mecanismos de prevenção a ataques de
leitura existentes no DICT e detalhados no Manual Operacional do DICT?
(Sim/Não)
. .VII (c)
.A solução prevista contempla a implementação de mecanismos de prevenção a ataques de leitura ao DICT desde o primeiro momento de operação da instituição na fase de
operação restrita?
(Sim/Não)

Fechar